Přidání diskuzního příspěvku
Re: doplnění
"Překvapilo nás, že ani CZ.NIC (jako největší propagátor DNSSEC) na svých DNS serverech DNSSEC nepoužíval."
Pane Grille, lžete rád? Vy totiž evidentně vůbec netušíte, co radíte a děláte a jak to funguje, což je na pováženou. Ty vámi avizované DNS servery samozřejmě DNSSEC ověřují (217.31.204.130 a 193.29.206.206).
dig @217.31.204.130 www.dnssec-failed.org +dnssec +multi
; <<>> DiG 9.11.0-P3 <<>> @217.31.204.130 www.dnssec-failed.org +dnssec +multi
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 56576
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;www.dnssec-failed.org. IN A
;; Query time: 837 msec
;; SERVER: 217.31.204.130#53(217.31.204.130)
;; WHEN: Tue Apr 18 16:54:26 CEST 2017
;; MSG SIZE rcvd: 50
--------
dig @193.29.206.206 www.dnssec-failed.org +dnssec +multi
; <<>> DiG 9.11.0-P3 <<>> @193.29.206.206 www.dnssec-failed.org +dnssec +multi
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 41391
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;www.dnssec-failed.org. IN A
;; Query time: 1142 msec
;; SERVER: 193.29.206.206#53(193.29.206.206)
;; WHEN: Tue Apr 18 16:54:55 CEST 2017
;; MSG SIZE rcvd: 50
--------
Takto oproti tomu vypadá výsledek na serverech, které DNSSEC neověřují, např. OpenDNS:
dig @208.67.222.222 www.dnssec-failed.org +dnssec +multi
; <<>> DiG 9.11.0-P3 <<>> @208.67.222.222 www.dnssec-failed.org +dnssec +multi
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 57590
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.dnssec-failed.org. IN A
;; ANSWER SECTION:
www.dnssec-failed.org. 7200 IN A 68.87.109.242
www.dnssec-failed.org. 7200 IN A 69.252.193.191
;; Query time: 175 msec
;; SERVER: 208.67.222.222#53(208.67.222.222)
;; WHEN: Tue Apr 18 16:57:10 CEST 2017
;; MSG SIZE rcvd: 82
--------
Ono kdyby se u Vás někde zamyslel, tak jen opravdu nepříliš duševně vybavený jedinec bude doporučovat jako workaround pro expirované podpisy použití DNS serverů CZ.NIC, které jsou vysloveně avizovány jako validující - viz https://www.nic.cz/odvr/